

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Untersuchen von IAM-Richtlinien
<a name="determining-access-iam-policies"></a>

Zusätzlich zu den Schlüsselrichtlinien und Berechtigungen können Sie auch [IAM-Richtlinien](iam-policies.md) verwenden, um den Zugriff auf einen KMS-Schlüssel zu erlauben. Weitere Informationen darüber, wie IAM-Richtlinien und Schlüsselrichtlinien zusammen funktionieren, finden Sie unter [Problembehandlung bei AWS KMS Berechtigungen](policy-evaluation.md).

Um zu bestimmen, welche Prinzipale derzeit über IAM-Richtlinien auf einen KMS-Schlüssel zugreifen können, verwenden Sie das browserbasierte [IAM-Richtliniensimulator](https://policysim.aws.amazon.com/)-Tool. Alternativ können Sie Anforderungen an die IAM-API durchführen.

**Contents**
+ [Untersuchen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](#determining-access-iam-policy-simulator)
+ [Untersuchen von IAM-Richtlinien mit der IAM-API](#determining-access-iam-api)

## Untersuchen von IAM-Richtlinien mit dem IAM-Richtliniensimulator
<a name="determining-access-iam-policy-simulator"></a>

Mit dem IAM-Richtliniensimulator können Sie erfahren, welche Prinzipale über eine IAM-Richtlinie Zugriff auf einen KMS-Schlüssel haben.

**So verwenden Sie den IAM-Richtliniensimulator, um den Zugriff auf einen KMS-Schlüssel zu bestimmen**

1. Melden Sie sich beim an AWS-Managementkonsole und öffnen Sie dann den IAM Policy Simulator unter[https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. Wählen Sie im Feld **Benutzer, Gruppen und Rollen** den Benutzer, Gruppe oder Rolle, deren Richtlinien Sie simulieren möchten.

1. (Optional) Deaktivieren Sie das Kontrollkästchen neben den Richtlinien, die Sie von der Simulation auslassen möchten. Um alle Richtlinien zu simulieren, markieren Sie alle Richtlinien.

1. Führen Sie im Bereich **Richtliniensimulator** die folgenden Schritte aus:

   1. Wählen Sie für **Service wählen** die Option **Key Management Service**.

   1. Um bestimmte AWS KMS Aktionen zu simulieren, **wählen Sie unter Aktionen auswählen** die zu simulierenden Aktionen aus. Um alle AWS KMS Aktionen zu simulieren, wählen **Sie Alle auswählen**.

1. (Optional) Der Richtliniensimulator simuliert standardmäßig einen Zugriff auf alle KMS-Schlüssel. Um den Zugriff auf einen bestimmten KMS-Schlüssel zu simulieren, wählen Sie **Simulation Settings (Simulationseinstellungen)** und geben Sie dann den Amazon-Ressourcennamen (ARN) des zu simulierenden KMS-Schlüssels ein.

1. Wählen Sie **Run Simulation (Simulation ausführen)**.

Sie können die Ergebnisse der Simulation im Abschnitt **Ergebnisse** sehen. Wiederholen Sie die Schritte 2 bis 6 für alle Benutzer, Gruppen und Rollen im AWS-Konto.

## Untersuchen von IAM-Richtlinien mit der IAM-API
<a name="determining-access-iam-api"></a>

Sie können mit der IAM-API programmgesteuert IAM-Richtlinien untersuchen. Die folgenden Schritte bieten eine allgemeine Übersicht darüber:

1. Verwenden Sie für jede, die in der Schlüsselrichtlinie als Prinzipal AWS-Konto aufgeführt ist (d. h. für jeden [AWS Kontoprinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts), der in diesem Format angegeben ist:`"Principal": {"AWS": "arn:aws:iam::111122223333:root"}`), die [ListRoles](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRoles.html)Operationen [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)und in der IAM-API, um alle Benutzer und Rollen im Konto abzurufen.

1. Verwenden Sie für jeden Benutzer und jede Rolle in der Liste den [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)Vorgang in der IAM-API und übergeben Sie dabei die folgenden Parameter:
   + Geben Sie für `PolicySourceArn` den Amazon-Ressourcennamen (ARN) für einen Benutzer oder eine Rolle aus der Liste an. Sie können nur jeweils einen `PolicySourceArn` pro `SimulatePrincipalPolicy`-Anforderung angeben. Deshalb müssen Sie diese Operation mehrfach aufrufen – jeweils einmal für jeden Benutzer und jede Rolle in der Liste.
   + Geben Sie für die `ActionNames` Liste jede AWS KMS API-Aktion an, die simuliert werden soll. Um alle AWS KMS API-Aktionen zu simulieren, verwenden Sie`kms:*`. Um einzelne AWS KMS API-Aktionen zu testen, stellen Sie jeder API-Aktion "`kms:`" voran, zum Beispiel "`kms:ListKeys`“. Eine vollständige Liste aller AWS KMS -API-Aktionen finden Sie unter [Aktionen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) in der *AWS Key Management Service -API-Referenz*.
   + (Optional) Um zu ermitteln, ob die Benutzer oder Rollen Zugriff auf bestimmte KMS-Schlüssel haben, verwenden Sie den `ResourceArns` Parameter, um eine Liste der Amazon-Ressourcennamen (ARNs) der KMS-Schlüssel anzugeben. Vermeiden Sie den `ResourceArns`-Parameter, um zu prüfen, ob die Benutzer oder Rollen Zugriff auf irgendwelche KMS-Schlüssel haben.

IAM antwortet auf jede `SimulatePrincipalPolicy`-Anforderung mit einer Bewertungsentscheidung: `allowed`, `explicitDeny`, oder `implicitDeny`. Für jede Antwort, die eine Bewertungsentscheidung von enthält`allowed`, enthält die Antwort den Namen des spezifischen AWS KMS API-Vorgangs, der zulässig ist. Darüber hinaus enthält sie den ARN des KMS-Schlüssels, der in der Bewertung verwendet wurde, falls vorhanden.